워크로드 아이덴티티 속성
속성은 WorkloadIdentity 리소스와 함께 규칙과 템플릿 값을 생성하는 데 사용할 수 있는 신원의 특성입니다. 이러한 속성은 tbot이 수행하는 워크로드 증명이나 tbot이 참여할 때 제어 플레인이 수행하는 증명과 같은 다양한 소스에서 가져옵니다.
속성은 WorkloadIdentity 리소스와 함께 규칙과 템플릿 값을 생성하는 데 사용할 수 있는 신원의 특성입니다.
이러한 속성은 tbot이 수행하는 워크로드 증명이나 tbot이 참여할 때 제어 플레인이 수행하는 증명과 같은 다양한 소스에서 가져옵니다.
참여 속성#
참여 속성은 Bot이 수행한 참여 프로세스에서 가져옵니다. 이를 통해 일반적으로 tbot 에이전트가 실행 중인 머신을 식별할 수 있습니다.
join.meta#
join.meta 속성은 특정 참여 방법과 관련이 없으며, 대신 일반적으로 참여에 사용된 참여 토큰에 대한 정보를 제공합니다.
| 필드 | 설명 |
|---|---|
join.meta.join_token_name |
참여에 사용된 참여 토큰의 이름. 이 경우 참여 토큰의 이름이 민감하므로, 참여에 사용된 참여 토큰이 token 방법인 경우 이 필드는 생략됩니다. 예시: my-gitlab-join-token |
join.meta.join_method |
참여에 사용된 참여 방법의 이름. 예시: gitlab |
join.azure#
이 속성은 Bot이 Azure 참여 방법을 사용하여 참여한 경우 존재합니다.
| 필드 | 설명 |
|---|---|
join.azure.subscription |
참여하는 엔티티가 속한 Azure 계정의 구독 ID. |
join.azure.resource_group |
참여하는 엔티티가 속한 Azure 계정의 리소스 그룹. |
join.azure_devops#
이 속성은 Bot이 Azure DevOps 참여 방법을 사용하여 참여한 경우 존재합니다.
| 필드 | 설명 |
|---|---|
join.azure_devops.sub |
참여에 사용된 Azure DevOps 파이프라인 ID 토큰의 sub 클레임. |
join.azure_devops.organization_name |
파이프라인이 실행 중인 조직의 이름. |
join.azure_devops.project_name |
파이프라인이 실행 중인 프로젝트의 이름. |
join.azure_devops.pipeline_name |
실행 중인 파이프라인의 이름. |
join.azure_devops.organization_id |
파이프라인이 실행 중인 조직의 ID. |
join.azure_devops.project_id |
파이프라인이 실행 중인 프로젝트의 ID. |
join.azure_devops.definition_id |
실행 중인 파이프라인의 ID. |
join.azure_devops.repository_id |
파이프라인이 실행 중인 저장소의 ID. |
join.azure_devops.repository_version |
파이프라인이 실행 중인 저장소의 버전. Git의 경우 커밋 SHA입니다. |
join.azure_devops.repository_ref |
파이프라인이 실행 중인 저장소의 ref. |
join.azure_devops.run_id |
실행 중인 실행의 ID. |
join.bitbucket#
이 속성은 Bot이 Bitbucket 참여 방법을 사용하여 참여한 경우 존재합니다.
Bitbucket에서 발행한 JWT에서 매핑되며, 추가 문서는 https://support.atlassian.com/bitbucket-cloud/docs/integrate-pipelines-with-resource-servers-using-oidc/에서 확인할 수 있습니다.
| 필드 | 설명 |
|---|---|
join.bitbucket.sub |
참여에 사용된 Bitbucket JWT의 sub 클레임. |
join.bitbucket.step_uuid |
파이프라인 단계의 UUID. |
join.bitbucket.repository_uuid |
파이프라인 단계가 실행 중인 저장소의 UUID. |
join.bitbucket.pipeline_uuid |
단계가 실행 중인 파이프라인의 UUID. |
join.bitbucket.workspace_uuid |
파이프라인이 속한 워크스페이스의 UUID. |
join.bitbucket.deployment_environment_uuid |
파이프라인이 실행 중인 배포 환경의 UUID. |
join.bitbucket.branch_name |
파이프라인이 실행 중인 브랜치의 이름. |
join.circleci#
이 속성은 Bot이 CircleCI 참여 방법을 사용하여 참여한 경우 존재합니다.
CircleCI에서 발행한 JWT에서 매핑되며, 추가 문서는 https://circleci.com/docs/openid-connect-tokens/에서 확인할 수 있습니다.
| 필드 | 설명 |
|---|---|
join.circleci.sub |
참여에 사용된 CircleCI JWT의 sub 클레임. |
join.circleci.context_ids |
작업에 사용된 컨텍스트의 UUID. |
join.circleci.project_id |
작업이 실행 중인 프로젝트의 UUID. |
join.gcp#
이 속성은 Bot이 Google Cloud Project(GCP) 참여 방법을 사용하여 참여한 경우 존재합니다.
GCP에서 발행한 JWT에서 매핑되며, 추가 문서는 https://cloud.google.com/compute/docs/instances/verifying-instance-identity#payload에서 확인할 수 있습니다.
join.gcp.gce 아래의 속성은 Bot이 Google Compute Engine(GCE) 인스턴스에서 실행 중인 경우에만 존재합니다.
| 필드 | 설명 |
|---|---|
join.gcp.service_account |
인스턴스가 실행 중인 서비스 계정의 이메일. |
join.gcp.gce.name |
참여하는 엔티티가 실행 중인 GCE 인스턴스의 이름. |
join.gcp.gce.zone |
참여하는 엔티티가 실행 중인 GCE 인스턴스의 영역. |
join.gcp.gce.zone.id |
참여하는 엔티티가 실행 중인 GCE 인스턴스의 ID. |
join.gcp.gce.zone.project |
인스턴스가 실행 중인 GCP 프로젝트의 프로젝트 ID. |
join.github#
이 속성은 Bot이 GitHub 참여 방법을 사용하여 참여한 경우 존재합니다.
GitHub에서 발행한 JWT에서 매핑되며, 추가 문서는 https://docs.github.com/en/actions/security-for-github-actions/security-hardening-your-deployments/about-security-hardening-with-openid-connect#understanding-the-oidc-token에서 확인할 수 있습니다.
| 필드 | 설명 |
|---|---|
join.github.sub |
참여에 사용된 GitHub JWT의 sub 클레임. |
join.github.actor |
워크플로 실행을 시작한 액터의 사용자 이름. |
join.github.environment |
워크플로가 실행 중인 환경의 이름(있는 경우). |
join.github.ref |
워크플로가 실행 중인 ref. |
join.github.ref_type |
워크플로가 실행 중인 ref의 유형. 예: branch. |
join.github.repository |
워크플로가 실행 중인 저장소의 이름. |
join.github.repository_owner |
워크플로가 실행 중인 저장소의 소유자 이름. |
join.github.workflow |
실행 중인 워크플로의 이름. |
join.github.event_name |
워크플로 실행을 트리거한 이벤트의 이름. |
join.github.sha |
워크플로 실행을 트리거한 커밋의 SHA. |
join.github.run_id |
이 GitHub Actions 워크플로 실행의 ID. |
join.github.enterprise |
저장소가 속한 엔터프라이즈 이름(있는 경우). |
join.github.enterprise_id |
저장소가 속한 엔터프라이즈 ID(있는 경우). |
join.gitlab#
이 속성은 Bot이 GitLab 참여 방법을 사용하여 참여한 경우 존재합니다.
GitLab에서 발행한 JWT에서 매핑되며, 추가 문서는 https://docs.gitlab.com/ee/ci/secrets/id_token_authentication.html#token-payload에서 확인할 수 있습니다.
| 필드 | 설명 |
|---|---|
join.gitlab.sub |
참여에 사용된 GitLab JWT의 sub 클레임. 예: project_path:mygroup/my-project:ref_type:branch:ref:main |
join.gitlab.ref |
파이프라인이 실행 중인 ref. 예: main |
join.gitlab.ref_type |
파이프라인이 실행 중인 ref의 유형. 일반적으로 branch 또는 tag. |
join.gitlab.ref_protected |
파이프라인이 실행 중인 ref가 보호되는지 여부. |
join.gitlab.namespace_path |
파이프라인이 실행 중인 프로젝트의 네임스페이스 경로. |
join.gitlab.project_path |
파이프라인이 실행 중인 프로젝트의 완전한 경로. 예: mygroup/my-project |
join.gitlab.user_login |
파이프라인 실행을 트리거한 사용자의 이름. |
join.gitlab.user_email |
파이프라인 실행을 트리거한 사용자의 이메일. |
join.gitlab.pipeline_id |
파이프라인의 ID. |
join.gitlab.pipeline_source |
파이프라인의 소스. 예: push 또는 web |
join.gitlab.environment |
파이프라인이 실행 중인 환경(있는 경우). |
join.gitlab.environment_protected |
파이프라인이 보호된 환경에서 실행 중인지 여부. |
join.gitlab.runner_id |
이 파이프라인이 실행 중인 러너의 ID. |
join.gitlab.runner_environment |
파이프라인을 처리하는 러너의 유형. gitlab-hosted 또는 self-hosted. |
join.gitlab.sha |
파이프라인 실행을 트리거한 커밋의 SHA. |
join.gitlab.ci_config_ref_uri |
파이프라인을 구성하는 CI 구성의 ref URI. |
join.gitlab.ci_config_sha |
파이프라인을 구성하는 CI 구성 ref의 Git SHA. |
join.iam#
이 속성은 Bot이 AWS IAM 참여 방법을 사용하여 참여한 경우 존재합니다.
| 필드 | 설명 |
|---|---|
join.iam.account |
참여하는 엔티티가 속한 계정의 식별자. 예: 123456789012. |
join.iam.arn |
참여하는 엔티티의 AWS ARN. 예: arn:aws:sts::123456789012:assumed-role/my-role-name/my-role-session-name. |
join.kubernetes#
이 속성은 Bot이 Kubernetes 참여 방법을 사용하여 참여한 경우 존재합니다.
join.kubernetes.pod 아래의 속성은 bot이 Projected Service Account Token을 지원하는 Kubernetes 클러스터에서 실행 중인 경우에만 존재합니다.
| 필드 | 설명 |
|---|---|
join.kubernetes.subject |
Kubernetes 토큰을 기반으로 한 엔티티의 완전한 식별자. 서비스 계정의 경우 system:serviceaccount:<namespace>:<service-account-name> 형식을 취합니다. |
join.kubernetes.service_account.name |
참여하는 엔티티가 실행 중인 서비스 계정의 이름. |
join.kubernetes.service_account.namespace |
참여하는 엔티티가 실행 중인 서비스 계정의 네임스페이스. |
join.kubernetes.pod.name |
참여하는 엔티티가 실행 중인 파드의 이름. |
join.spacelift#
이 속성은 Bot이 Spacelift 참여 방법을 사용하여 참여한 경우 존재합니다.
Spacelift에서 발행한 JWT에서 매핑되며, 추가 문서는 https://docs.spacelift.io/integrations/cloud-providers/oidc/#standard-claims에서 확인할 수 있습니다.
| 필드 | 설명 |
|---|---|
join.spacelift.sub |
참여에 사용된 Spacelift JWT의 sub 클레임. |
join.spacelift.space_id |
실행이 수행 중인 스페이스의 ID. |
join.spacelift.caller_type |
실행을 소유한 호출자의 유형, stack 또는 module. |
join.spacelift.caller_id |
실행을 생성한 호출자의 ID. |
join.spacelift.run_type |
실행의 유형, PROPOSED, TRACKED, TASK, TESTING 또는 DESTROY. |
join.spacelift.run_id |
실행의 ID. |
join.spacelift.scope |
토큰의 구성된 범위, read 또는 write. |
join.terraform_cloud#
이 속성은 Bot이 Terraform Cloud 참여 방법을 사용하여 참여한 경우 존재합니다.
Terraform Cloud에서 발행한 JWT에서 매핑되며, 추가 문서는 https://developer.hashicorp.com/terraform/enterprise/workspaces/dynamic-provider-credentials/workload-identity-tokens에서 확인할 수 있습니다.
| 필드 | 설명 |
|---|---|
join.terraform_cloud.sub |
참여에 사용된 Terraform Cloud JWT의 sub 클레임. |
join.terraform_cloud.organization_name |
프로젝트와 워크스페이스가 속한 조직의 이름. |
join.terraform_cloud.project_name |
워크스페이스가 속한 프로젝트의 이름. |
join.terraform_cloud.workspace_name |
plan/apply가 실행 중인 워크스페이스의 이름. |
join.terraform_cloud.full_workspace |
조직 및 프로젝트 이름을 포함한 완전한 워크스페이스 경로. 예: organization:<name>:project:<name>:workspace:<name> |
join.terraform_cloud.run_id |
실행 중인 실행의 ID. |
join.terraform_cloud.run_phase |
실행 중인 실행의 단계, plan 또는 apply. |
join.tpm#
이 속성은 Bot이 TPM 참여 방법을 사용하여 참여한 경우 존재합니다.
| 필드 | 설명 |
|---|---|
join.tpm.ek_pub_hash |
PKIX 형식의 EK 공개 키의 SHA256 해시, 16진수로 인코딩됨. 이것은 특정 TPM을 효과적으로 식별합니다. |
join.tpm.ek_cert_serial |
EK 인증서의 일련 번호(있는 경우). |
join.tpm.ek_cert_verified |
EK 인증서가 인증 기관에 대해 검증되었는지 여부. |
워크로드 속성#
워크로드 속성은 워크로드가 워크로드 API를 통해 신원을 요청할 때 tbot이 수행하는 워크로드 증명에서 가져옵니다. tbot 구성에 따라 존재하지 않을 수 있습니다. 자세한 내용은 워크로드 증명 참조를 참조하세요.
workload.unix#
Unix 워크로드 증명자에서 가져온 속성.
자세한 내용은 워크로드 API 및 워크로드 증명 참조를 참조하세요.
| 속성 | 설명 |
|---|---|
workload.unix.attested |
워크로드가 Unix 증명을 통과했는지 여부. |
workload.unix.pid |
워크로드 프로세스의 PID. |
workload.unix.gid |
워크로드 프로세스의 기본 사용자 ID. |
workload.unix.uid |
워크로드 프로세스의 기본 그룹 ID. |
workload.unix.binary_path |
워크로드 실행 파일의 경로. |
workload.unix.binary_hash |
워크로드 실행 파일의 SHA-256 체크섬. |
workload.kubernetes#
Kubernetes 워크로드 증명자에서 가져온 속성.
자세한 내용은 워크로드 API 및 워크로드 증명 참조를 참조하세요.
| 속성 | 설명 |
|---|---|
workload.kubernetes.attested |
워크로드가 Kubernetes 증명을 통과했는지 여부. |
workload.kubernetes.namespace |
워크로드 파드의 네임스페이스. |
workload.kubernetes.pod_name |
워크로드 파드의 이름. |
workload.kubernetes.service_account |
워크로드 파드의 서비스 계정. |
workload.kubernetes.pod_uid |
워크로드 파드의 UID. |
workload.kubernetes.labels |
워크로드 파드의 레이블. |
workload.kubernetes.container.name |
컨테이너의 이름. |
workload.kubernetes.container.image |
컨테이너의 이미지 이름 (예: ubuntu:latest). |
workload.kubernetes.container.image_digest |
컨테이너의 이미지 다이제스트 (예: sha256:<hash>). |
workload.docker#
Docker 워크로드 증명자에서 가져온 속성.
자세한 내용은 워크로드 API 및 워크로드 증명 참조를 참조하세요.
| 속성 | 설명 |
|---|---|
workload.docker.attested |
워크로드가 Docker 증명을 통과했는지 여부. |
workload.docker.container.name |
컨테이너의 이름. |
workload.docker.container.image |
컨테이너의 이미지 이름 (예: ubuntu:latest). |
workload.docker.container.image_digest |
컨테이너의 이미지 다이제스트 (예: sha256:<hash>). |
workload.docker.container.labels |
컨테이너의 레이블. |
workload.podman#
Podman 워크로드 증명자에서 가져온 속성.
자세한 내용은 워크로드 API 및 워크로드 증명 참조를 참조하세요.
| 속성 | 설명 |
|---|---|
workload.podman.attested |
워크로드가 Podman 증명을 통과했는지 여부. |
workload.podman.container.name |
컨테이너의 이름. |
workload.podman.container.image |
컨테이너의 이미지 이름 (예: ubuntu:latest). |
workload.podman.container.image_digest |
컨테이너의 이미지 다이제스트 (예: sha256:<hash>). |
workload.podman.container.labels |
컨테이너의 레이블. |
workload.podman.pod.name |
파드의 이름. |
workload.podman.pod.labels |
파드의 레이블. |
workload.systemd#
Systemd 워크로드 증명자에서 가져온 속성.
자세한 내용은 워크로드 API 및 워크로드 증명 참조를 참조하세요.
| 속성 | 설명 |
|---|---|
workload.systemd.attested |
워크로드가 Systemd 증명을 통과했는지 여부. |
workload.systemd.service |
서비스 유닛의 이름. |
사용자 속성#
사용자 속성은 워크로드 신원 자격 증명의 발행을 요청하는 Bot 또는 사용자에서 가져옵니다.
| 속성 | 설명 |
|---|---|
user.name |
사용자의 이름. |
user.is_bot |
사용자가 bot인지 여부. |
user.bot_name |
사용자가 bot인 경우, bot의 이름. |
user.bot_instance_id |
사용자가 bot인 경우, bot의 인스턴스 ID. |
user.labels |
사용자의 레이블. |
user.traits |
사용자의 특성. |